漏洞和事件處理學習筆記,包括髮現安全問題、漏洞處理、時間處理。
發現安全問題
爲什麼要發現安全問題
- Web服務和應用一旦開放到互聯網,就會遭到全球黑客的掃描和滲透攻擊,安全問題就像屏蔽的定時炸彈,隨時會威脅到企業信息安全。一旦Web應用被攻陷植入後門,服務器就會變成入侵者的前哨站,通過被攻陷的服務器作爲跳板,進一步內網滲透,導致整個內網淪陷。
安全需求分析
- 項目初期接入、提前發現安全問題
- 使用Web框架和語言的選型建議
- 敏感信息如密碼的保存方案(加鹽+強哈希)
- 是否有上傳功能
- ……
安全掃描
- 通過掃描器發現安全問題、自動化、週期性執行
- 第三課學習的安全掃描工具,安全工程師必備技能
安全測試(人工)
- 發現安全問題的主要方式包括白盒測試和黑盒測試、通常以黑盒測試爲主
- 邏輯漏洞等
入侵檢測
- 項目上線之後進行監控,包含多種檢測方式。
- 網絡層:分析流量
- 主機層:主機上安裝小程序收集信息綜合分析
日誌分析
- 可疑日誌+人工分析
- 可疑日誌+掃描器
建立SRC
- 安全應急響應中心 Security Response Center,通過安全愛好者發現安全問題。
與漏洞收集平臺合作
- 藉助漏洞平臺的力量和影響力
其他渠道
- 黑客臥底,和國家執法部門合作。
漏洞處理
防禦
- 輸入檢查(服務端檢查、數據合法性檢驗、儘可能使用白名單)
- 輸出檢查(在數據輸出的點做特定過濾和轉義)
- 針對性防禦(特定安全漏洞的特定防禦策略,如cookie設置爲httponly緩解XSS漏洞危害)
- WAF Web Application Firewall, Web應用防火牆(攔截攻擊、虛擬補丁)
修復
- 漏洞知識庫(提供詳細的漏洞說明和修復方案,修復方案需要可落地執行:結合公司的開發情況(框架、語言),包含各種框架、語言的修復方案)
- 漏洞修復週期(需要時間限制,根據危害等級限定漏洞修復週期,如嚴重漏洞需要在24小時內修復)
- 漏洞複查
事件處理
安全事件分類
- 入侵事件、攻擊事件、信息泄露事件
安全事件分級
- 每個公司都有自己的安全事件分級標準,一般分爲高、中、低三級
企業如何處理安全時間(建立流程-安全事件應急響應流程)
- 事件確認
- 事件彙報
- 事件處理
- 歸檔和覆盤